نحوه راه اندازی کنترلرهای سیسکو SD-WAN

آموزش‌‌ راهکارهای امنیت شبکه
ارسال شده توسط
۷ مرداد ۱۴۰۰
1.22k بازدید

سیسکو SD-WAN

شرکت سیسکو با ارایه راهکار SD-WAN خود باعث کاهش هزینه‌های عملیاتی و نگهداری شبکه WAN توسط سازمان‌ها شده است. این راهکار به طور کلی ۴ حوزه اصلی مربوط به زیرساخت WAN یعنی Data Plane, Control Plane, Management Plane و Orchestration Plane را به صورت کامل پوشش می‌دهد.

ساختار سیسکو SD-WAN

SD-WAN-Fabrics

فرآیند کار سیسکو SD-WAN

SD-WAN-BringUp process

ساختار و نحوه کار vSamrt یا Control Plane

در شبکه Cisco SD-WAN، وظیفه اجرای سیاست‌ها مانند سایر شبکه‌های SDN برعهده یک کنترولر مرکزی می‌باشد. در ساختار SD-WAN شرکت سیسکو این کنترلر vSmart نام دارد. شما می توانید از یک یا دو و حتی سه کنترولر در داخل یک Cluster استفاده کنید. در واقع vSmart وظیفه اجرای سیاست‌هایی مانند مهندسی ترافیک و تقسیم بندی‌ها بر اساس توپولوژی VPN را برعهده دارد. Vsmart ها ضمن کاهش پیچیدگی‌های درون شبکه، همگام سازی اتصالات میان تمام WAN edgeها را نیز مدیریت و کنترل می‌کنند. در اصل vSmart با استفاده از بسته‌های OMP سیاست‌ها را به سمت v-edeg ها ارسال می‌کند.

SD-WAN Control plane

ساختار و نحوه کار Vedge یا Data Plane

Vedge ها بصورت فیزیکی یا مجازی در لبه شبکه مربوط به شعب، مراکز داده، سایت‌های ریموت و دفتر مرکزی قرار می‌گیرند و از این طریق یک Data Plane امن در شبکه SD-WAN ایجاد می‌کنند. همگام‌سازی امن Control Plane از طریق ارتباط با کنترل‌کنندگان vSmart و اجرای سیاست‌های مسیریابی برنامه‌های کاربردی و Data Plane بر عهده vEdgeها می‌باشد.

SD-WAN Data plane

ساختار و نحوه کار vManage یا Management Plane

این کامپوننت در واقع یک سرور مدیریتی شبکه یا NMS است که وظیفه مدیریت، نظارت، مانیتورینگ و اعمال تغییرات پیکربندی در شبکه SD-WAN را با به صورت متمرکز برعهده دارد. بعد از نصب vmanage و تنظیمات اولیه، این تجهیز یک کنسول تحت وب ارایه می‌دهد که می‌توانیم از طریق آن نودهای مربوط به زیرساخت SD-WAN خود را مدیریت و پایش نماییم. علاوه بر رابط گرافیکی، vManage از CLI برای ارائه ویژگی لازم جهت یکپارچه شدن با لایه Orchestration Plane استفاده می‌کند. ما می‌توانیم با استفاده از محیط GUI موارد زیر را پایش و بررسی نماییم.

  • وضعیت کامپوننت‌های اصلی Cisco SD-WAN
  • وضعیت ارتباطات بین سایت‌ها یا branchها
  • وضعیت Control Plane شبکه
  • وضعیت WAN Edgeها
  • وضعیت پهنای باند مصرفی لینک‌های ارتباطی
  • وضعیت مسیریابی مبتنی بر اپلیکیشن‌ها و لینک های ارتباطی
  • وضعیت Certificate ها
SD-WAN Management Plane

ساختار و نحوه عملکرد vBond یا Orchastaion plane

این کامپوننت همانند رهبر ارکست می‌باشد که در واقع ارتباط بین ۳ لایه اصلی SD-WAN یعنی Data Plane، Control Plane و Management Plane را برعهده دارد. vBond اولین نقطه احراز هویت بوده و مجوز تمامی ارتباطات کنترلی را از طریق whitelist صادر می‌کند. علاوه براین vBond وظیفه load balance کردن ارتباطات Control Plane، ارائه نیازمندهای لازم برای NAT و کنترل/مدیریت اطلاعات توزیع شده را نیز برعهده دارد. زمانیکه یک روتر در حالت unconfigured برای اولین بار boot می‌شود، vBond مسئولیت onboarding این device را در فبریک SD-WAN برعهده دارد. به عبارت دیگر یکی از کارهای vBond این است که از چگونگی ساختار شبکه اطلاع پیدا کرده و سپس این اطلاعات را در بین سایر کامپوننت‌ها به اشتراک بگذارد

نحوه اضافه کردن Image های سیسکو SD-WAN در محیط eve-ng

برای اضافه کردن image های SD-WAN در eve-ng مراحل زیر را به ترتیب انجام می‌دهیم.

مرحله اول

با استفاده از برنامه winscp یا mobaxterm به eve متصل شده و فایل‌های مربوط به Image های SD-WAN را مطابق شکل زیر در مسیر مورد نظر کپی می‌نماییم. توجه کنید که اسم دایرکتوری‌ها در مسیر /opt/unetlab/addons/qemu/ بایستی دقیقا مطابق شکل زیر باشند.

eve-ng

گام دوم

بعد از اضافه کردن و ساختن فایل‌ها مجددا در محیط cli با استفاده از دستور زیر یک هارد ۱۰۰ گیگی برای vManage ایجاد می‌کنیم. در واقع vManage از این فضا برای ذخیره سازی داده‌های مربوط به تنظیمات SD-WAN استفاده می‌کند.

[email protected]:~# cd /opt/unetlab/addons/qemu/vtmgmt-20.3.2 
[email protected]:/opt/unetlab/addons/qemu/vtmgmt-20.3.2# /opt/qemu/bin/qemu-img create -f qcow2 virtiob.qcow2 100G

گام سوم

برای اینکه Image های اضافه شده در مسیر بالا توسط Eve-ng قابل شناسایی شوند در پایان دستور زیر را اجرا می‌نماییم.

ro[email protected]:~# /opt/unetlab/wrappers/unl_wrapper –a fixpermissions

بعد از اجرای دستورات بالا می‌توانیم با استفاده از محیط کنسول وب eve-ng و گزینه add a node، از تجهیزات viptela در سناریو خود استفاده کنیم. حتما به این نکته توجه داشته باشید که برای استفاده از دستگاه‌های Viptela بایستی از آخرین ورژن eve استفاده کنید.

نصب و تنطیمات vManage بر روی eve-ng

برای انجام تنظیمات مربوط به Vmanage ابتدا از منوی مربوط به نودها، Viptela vManage را انتخاب می‌کنیم و برای انجام تنظیمات، ماشین مربوط به vManage را روشن می‌کنیم.

گام اول

ابتدا نام کاربری و پسورد پیشفرض vManage که مقدار admin می‌باشد را وارد می‌کنیم. طبق عکس زیر بعد از لاگین ابتدا هارد دوم را که در مراحل بالا تعریف کرده‌ایم، انتخاب می‌کنیم.

گام دوم

در این مرحله بایستی تنظیمات مربوط به VPN 0 برای ارتباطات فبریک، VPN512 برای ارتباطات Management و تنظیمات مربوط به System را انجام دهیم.

vManage# conf t
vManage(config)# vpn 0
vManage(config-vpn-0)# interface eth1
vManage(config-interface-eth1)# ip address 172.16.31.2/24
vManage(config-interface-eth1)# no shutdown
vManage(config-interface-eth1)# tunnel-interface
vManage(config-tunnel-interface)# color mpls
vManage(config-tunnel-interface)# allow-service all
vManage(config)# vpn 512
vManage(config-vpn-512)# interface eth0
vManage(config-interface-eth0)# ip address 192.168.21.80/24
vManage(config-interface-eth0)# no shutdown
vManage(config)# system 
vManage(config-system)# host-name vManage
vManage(config-system)# system-ip 1.1.1.1
vManage(config-system)# organization-name iranshell
vManage(config-system)# clock timezone Asia/Tehran
vManage(config-system)# vbond 172.16.30.2

گام سوم

در این مرحله با استفاده از آدرس ۱۹۲.۱۶۸.۲۱.۸۰ به کنسول وب vManage وصل شده و تنظیمات زیر را به ترتیب انجام می‌دهیم.

از منوی سمت چپ وارد قسمت Administration شده و تنظیمات مربوط به Organization name، آدرس vBond و گواهی مربوط به Controller Certificate Authorisation را انجام می‌دهیم.

بعد از آپلود گواهی مربوط به CA Server، وارد قسمت Configuration شده و گزینه Certificate را انتخاب می‌کنیم. در این قسمت بایستی برای کنترلر vManage خود یک گواهی معتبر از CA Server دریافت و نصب نماییم. برای این کار ابتدا یک درخواست CSR ایجاد و با استفاده از آن یک گواهی از CA Server دریافت و نصب می‌کنیم.

در اینجا کار نصب vManage به اتمام رسیده و در ادامه نصب vBond را شروع می‌کنیم

نصب و تنطیمات vBond بر روی eve-ng

برای انجام تنظیمات مربوط به VBond همانند vManage ابتدا از منوی مربوط به نودها، Viptela vBond را انتخاب و برای انجام تنظیمات، ماشین مربوط به vBond را روشن می‌کنیم.

برای انجام تنظیمات vBond تنظیمات مشابه گام دوم مربوط به تنظیمات vManage را برای vBond نیز انجام می‌دهیم.

vedge# conf t
vedge(config)# vpn 0
vedge(config-vpn-0)# interface ge0/0
vedge(config-interface-ge0/0)# ip address 172.16.31.2/24
vedge(config-interface-ge0/0)# no shutdown
vedge(config-interface-ge0/0)# tunnel-interface
vedge(config-tunnel-interface)# color mpls
vedge(config-tunnel-interface)# encapsulation ipsec
vedge(config-tunnel-interface)# allow-service all
vedge(config)# vpn 512
vedge(config-vpn-512)# interface eth0
vedge(config-interface-eth0)# ip address 192.168.21.81/24
vedge(config-interface-eth0)# no shutdown
vedge(config)# system 
vedge(config-system)# host-name vBond
vedge(config-system)# system-ip 2.2.2.2
vedge(config-system)# organization-name iranshell
vedge(config-system)# clock timezone Asia/Tehran
 vedge(config-system)# vbond 172.16.30.2 local

در ادامه وارد کنسول وب مربوط به vManage شده و در منوی Configuration گزینه Device را انتخاب می‌کنیم. در سربرگ مربوط به Controller گزینه Add Controller را زده و یک vBond اضافه می‌کنیم. بعد از اضافه شدن vBond همانند vManage یک درخواست CSR برای vBond ایجاد و با استفاده از آن یک گواهی معتبر از CA server برای آن می‌گیریم. در ادامه Certificate را از طریق vManage به vBond اضافه می‌کنیم.

نصب و تنطیمات vSmart بر روی eve-ng

همانند دو کنترلر قبلی Vsmart را روشن و با نام کاربری و پسورد پیشفرض Admin وارد می‌شویم. بر روی vSmart نیز VPN 0 و VPN 512 و system را کانفیگ می‌کنیم.

vSmart# conf t
vSmart(config)# vpn 0
vSmart(config-vpn-0)# interface eth1
vSmart(config-interface-eth1)# ip address 172.16.32.2/24
vSmart(config-interface-eth1)# no shutdown
vSmart(config-interface-eth1)# tunnel-interface
vSmart(config-tunnel-interface)# color mpls
vSmart(config-tunnel-interface)# allow-service all
vSmart(config)# vpn 512
vSmart(config-vpn-512)# interface eth0
vSmart(config-interface-eth0)# ip address 192.168.21.82/24
vSmart(config-interface-eth0)# no shutdown
vSmart(config)# system 
vSmart(config-system)# host-name vSmart
vSmart(config-system)# system-ip 3.3.3.3
vSmart(config-system)# organization-name iranshell
vSmart(config-system)# clock timezone Asia/Tehran
vSmart(config-system)# vbond 172.16.30.2

در ادامه وارد کنسول وب مربوط به vManage شده و در منوی Configuration گزینه Device را انتخاب می‌کنیم. در سربرگ مربوط به Controller گزینه Add Controller را زده و یک vSmart اضافه می‌کنیم. بعد از اضافه شدن vSmart همانند vManage و vBond یک درخواست CSR برای vSmart ایجاد و با استفاده از آن یک گواهی معتبر از CA server برای آن می‌گیریم. در ادامه certificate را از طریق vManage به vSamrt اضافه می‌کنیم.

نصب و تنطیمات vBond بر روی eve-ng

در فرآیند نصب کنترلرهای مربوط به SD-WAN، اضافه کردن vedge ها با بقیه کمی فرق می‌کند. برای اضافه کردن vedge ها ابتدا باید smart account خود که برای fabric از سایت سیسکو دریافت کرده‌ایم را در vManage اضافه کنیم. برای این کار وارد محیط vManage شده در قسمت Configuration، سربرگ Wan Edge List، گزینه Upload Wan Edge List را زده و فایلی که از سایت سیسکو به اسم serialFile.viptela دریافت کرده‌ایم را آپلود می‌کنیم.

لیست سریال‌های بعد از آپلود

طبق تصویر زیر، در ادامه میتوانیم Wan Edge های خود را با سریال‌های زیر در fabric اضافه کنیم.

همانند کنترلرهای قبلی با نام کاربری و پسورد پیشفرض Admin بر روی vedge ها می‌کنیم. و بر روی آنها نیز VPN 0 و VPN 512 و system را کانفیگ می‌کنیم.

در اینجا از طریق یکی از برنامه‌های Winscp یا Mobaxterm به vedge از طریق آدرس VPN 512 متصل شده و گواهی CA server را در مسیر Home/admin قرار می‌دهیم. در ادامه با استفاده از دستور زیر گواهی مربوط به CA Server را بر روی vedge نصب می‌کنیم.

V-edge-7# request- root-cert-chain install /home/admin/CA-ROOT.cer

همانند کنترلرهای قبلی با استفاده از دستور زیر بر روی vedge یک درخواست CSR ایجاد می‌کنیم. سپس از طریق آن یک گواهی معتبر از CA Server برای vedge دریافت می‌نماییم.

V-edge-7# request csr upload /home/admin/v-edge-7

گواهی را بعد از Upload با استفاده از دستور زیر بر روی vedge نصب می‌کنیم.

V-edge-7# request certificate install /home/admin/v-edge-7.cer

بعد از نصب موفقیت آمیز گواهی برای فعال کردن vedge بر روی ابر دستور زیر را بر روی آن اجرا می‌کنیم. در اینجا به ترتیب از Chassis-number و token هایی که در بالا در vManage اضافه کردیم برای تکمیل فرآیند اضافه کردن vedge استفاده می‌کنیم.

V-edge-7# request vedge-cloud activate

مراحل بالا را برای همه vedge ها انجام می‌هیم. همانطور که در عکس زیر مشخص است همه اجزای SD-WAN به درستی اضافه شده و در کنسول vManage قابل مشاهده می‌باشند.

اشتراک گذاری:
برچسب ها: